Ransomware: Die Gefahr schlummert im System

Ralf Baumann, Country Manager Germany bei Veritas Technologies, schreibt darüber, wo er die größte Gefahr im Rahmen des Themenkomplexes Ransomware sieht.

Immer häufiger werden Unternehmen zu Ransomware-Opfern. Laut einer aktuellen Studie von Sophos wurden 67 Prozent der befragten Unternehmen in Deutschland angegriffen. 42 Prozent der Geschädigten zahlten sogar das geforderte Lösegeld, um ihre Daten wieder zu entschlüsseln. Prognosen zufolge werden die Attacken weiterhin zunehmen. Die tatsächliche Anzahl der Unternehmen, bei denen eine Sicherheitslücke vorliegt, könnte jedoch viel höher sein, da Ransomware oft monate- oder sogar jahrelang in den Netzwerken schlummert, bevor sie aktiviert wird. Gegenwärtig sollte daher jedes Unternehmen davon ausgehen, dass Hacker bereits in ihre Systeme eingedrungen sind oder sich in naher Zukunft Zugang verschaffen könnten. Versierten Cyberkriminellen gelingt es bereits seit einiger Zeit, Anti-Malware-Systeme zu umgehen – die erste Verteidigungslinie. Die verfolgte Strategie ist dabei ausgeklügelt: Die Angreifer schleusen Malware in die IT-Systeme. Dort schlummert sie zunächst inaktiv und bleibt somit unentdeckt. Dadurch können die Hacker potenzielle Schwächen im System ausspionieren und schlagen in einem günstigen Moment zu. Zudem kann sich der Schadcode im Netzwerk verbreiten und Daten infizieren, von denen sich die Cyberkriminellen ein hohes Lösegeld versprechen. Die Komplexität der Angriffsprozesse unterstreicht, dass Hacker die anvisierten Systeme oftmals kennen und wissen, wann der perfekte Zeitpunkt für einen Angriff gekommen ist.

Generell richten Hacker so viel Schaden wie möglich an, um ihren Erfolg und auch ihre Rendite aus den Angriffen zu maximieren. Denn für Cyberkriminelle ist Ransomware längst zu einem lukrativen Geschäftsmodell geworden. Aber womit können sich Unternehmen vor Ransomware schützen, wenn sie sich unentdeckt in einem System eingenistet hat?

Ganzheitliche Einblicke in die IT-Infrastruktur und die Daten

Cyberkriminelle suchen gezielt nach Schwachstellen in den IT-Systemen – also nach Bereichen, in denen die Sicherheit und Überwachung eingeschränkt ist. Deswegen sollten Unternehmen Tools einsetzen, die einen Einblick in die gesamte Infrastruktur gewähren. So können IT-Teams auch Dark Data aufspüren, die zwar erfasst und gespeichert sind, aber nicht mehr verwendet werden. Bei den üblicherweise großen Datenmengen in Unternehmen sind sich die Verantwortlichen oft nicht mehr bewusst, dass einige dieser Daten überhaupt existieren. Untersuchungen von Veritas Technologies ergaben, dass im Schnitt mehr als die Hälfte (52 Prozent) aller Daten nicht klassifiziert oder per Tag gekennzeichnet ist. Das bedeutet, dass deutsche Unternehmen über keinerlei Transparenz bei großen Mengen potenziell geschäftskritischer Daten verfügen. Und damit stellen sie ein leichtes Angriffsziel für Hacker dar. Außerdem besteht die Gefahr, dass die ungekennzeichneten Daten nicht nur wichtige Geschäftspläne beherbergen, sondern auch Ransomware, die so unentdeckt bleibt.

„Generell richten Hacker so viel Schaden wie möglich an, um ihren Erfolg und auch ihre Rendite aus den Angriffen zu maximieren. Denn für Cyberkriminelle ist Ransomware längst zu einem lukrativen Geschäftsmodell geworden“, erläutert Ralf Baumann die Hintergründe.

Der Überblick über die Daten ermöglicht es Unternehmen, zu erkennen, welche Daten von einem Ransomware-Angriff betroffen sind. Insbesondere bei einem Exfiltrationsangriffs ist dies wichtig, sodass die Firmen wissen, ob Hacker die Blaupausen für das neue Produkt erbeutet haben oder doch das Mittagsmenü der vergangenen Woche.

Neben einem Überblick über die gesamte Infrastruktur ist auch eine klare Dokumentation empfehlenswert, in der IT-Umgebung mit Verfahren und Konfigurationen erklärt werden. Die Übersicht sollte dem Unternehmen in Papierform vorliegen, sodass sie auch bei einem erfolgreichen Angriff verfügbar ist. Dies ist ein entscheidender Faktor, wenn es zur Wiederherstellung von verschlüsselten Daten kommt. Die Dokumentation sollte zudem regelmäßig überprüft und aktualisiert werden.

Alle Daten unabhängig ihrer Quelle schützen

Sobald ein Unternehmen seine Daten aus allen verfügbaren Quellen identifiziert hat, lassen sich diese durch mehrere Layer schützen. Denn haben sich Cyberkriminelle erst einmal Zugang zu einer Umgebung verschafft, suchen sie oft nach vertraulichen Informationen oder Log-in-Daten. Dadurch können sie tiefer in das System eindringen oder Backup-Systeme aushebeln und eine Wiederherstellung verhindern.

Um diese Art von Risiken zu begrenzen, sollten Unternehmen zunächst den Zugriff durch eine Kombination aus Benutzernamen und Passwort beschränken. So lässt sich sicherstellen, dass ein einzelner Administrator keinen Zugriff auf die gesamte Infrastruktur hat. Darüber hinaus sollten auch die Zugangsberechtigungen der Führungskräfte, die oft im Fokus von Hackern stehen, limitiert werden. Es empfiehlt sich auch die Privilegien von Backup-Administratoren kritisch zu bewerten und einzuschränken. Eine bewährte Praxis besteht in einem Zero-Trust-Ansatz für die gesamte IT-Umgebung mit einer Multi-Faktor-Authentifizierung (MFA) und einer rollenbasierte Zugriffskontrolle (RBAC).  

Zudem empfiehlt es sich, das Netzwerk in mehrere Subnetze zu segmentieren, um sicherzustellen, dass der Zugriff auf insbesondere kritische Daten verwaltet und eingeschränkt wird. Es ist hierbei essenziell, die Bewegungsmöglichkeiten von Cyberkriminellen einzuschränken, wenn sie bereits im System sind.

Eine weitere wirksame Methode zum Schutz von geschäftskritischen Daten ist die Implementierung eines unveränderlichen Speichers. Auf diese Weise lässt sich sicherstellen, dass die Daten für einen definierten Zeitraum oder dauerhaft nicht verändert, verschlüsselt und gelöscht werden können. Zudem sollten die IT-Teams einen Air Gap als physische Trennung von Geräten, Systemen und Netzwerken schaffen.

Datenschutz dank autonomer und optimierter Lösungen für die Cloud

Ist eine Schadsoftware erst einmal im System, können Firmen dank künstlicher Intelligenz (KI) und Machine Learning (ML) große Datenmengen analysieren. Auf diese Weise lassen sich zuverlässig Schwachstellen finden, Lücken schließen und die IT-Infrastruktur absichern. Mit einer autonomen Datenverwaltung unterschiedlicher Workloads können Unternehmen außerdem ihre Daten effizient und sicher managen. Durch den Einsatz entsprechender Technologien entsteht eine containerisierte, programmierbare Microservices-Architektur, die autonome und einheitliche Datenmanagement-Dienste in der Cloud bereitstellt. Durch eine Cloud-optimierte Datenverwaltungslösung mit Web-Scale-Technologien und Automatisierung wird eine kostengünstige, effiziente und sichere Datenverwaltung in Multi-Cloud-Umgebungen sichergestellt.

Besonders eignen sich für komplexe IT-Landschaften mit unterschiedlichen Cloud-Umgebungen (sogenannte Multi-Clouds) Lösungen, die auf KI und autonomen Datenmanagement basieren. Mit automatischen Malware-Scans kann ein Unternehmen seine Ransomware-Resilienz zusätzlich erhöhen. Wenn diese Überprüfungen während und vor der Datensicherung einsetzen, ist eine saubere Wiederherstellung von Daten gewährleistet – ohne ebenso den Schadcode wiederherzustellen. Da Malware nicht nur in den Primärkopien der Daten schlummern kann, sondern auch in deren Sicherheitskopien, lässt sich überprüfen, ob diese ebenfalls kompromittiert wurden. So können Unternehmen ausschließen, dass sie den Schadcode in einem Recovery-Fall nicht wieder in ihre Produktionsumgebung einschleusen.

Zudem ist ein System zur Erkennung von Anomalien empfehlenswert. So lassen sich ungewöhnliche Aktivitäten bei den Sicherungsaufträgen überwachen. Ist ein Virus in die Produktionsumgebung eingedrungen und fängt an, große Datenmengen zu verschlüsseln, führt dies dazu, dass alle betroffenen Dateien erneut gesichert werden müssen. Dieses ungewöhnliche Verhalten löst einen Alarm aus, sodass das System ohne menschliches Zutun eingreifen kann.

Diese Technologie führt zu einer granularen Flexibilität, der Content-basiert ist und eine schnelle Recovery ermöglicht. Korrumpierte Backups lassen sich auf diese Weise zeitnah erkennen. Mit einer On-Demand-Überprüfung können IT-Teams die Kontrolle über die Malware-Untersuchen behalten und sich entscheiden, welche Ziele gescannt werden sollen und welche weiterführenden Maßnahmen erforderlich sind.

Tests und Simulationen

Für Unternehmen steht nicht mehr die Frage im Raum, ob sie Opfer eines Angriffs werden, sondern wann. Gegenwärtig ist es wichtig, dass Firmen auf bevorstehende Attacken vorbereitet sind und einen effektiven Recovery-Prozess implementiert haben, der eine schnelle Wiederherstellung gewährleistet. Hierfür sind Tests unerlässlich. Denn durch regelmäßige Simulationen solcher Attacken lassen sich Ausfallzeiten und Störungen begrenzen und die Auswirkungen eines erfolgreichen Angriffs minimieren. Die Tests sollten bei allen Anwendungen durchgeführt werden, die Teil ihrer Produktionsumgebungen sind. Denn wenn Unternehmen von einer Ransomware-Attacke kalt erwischt werden, kostet das nicht nur wertvolle Zeit, sondern bedeutet unter Umständen auch das Aus des Unternehmens.


Bildquelle / Lizenz Aufmacher: Photo by FLY:D on Unsplash


Creative Commons Lizenz CC BY-ND 4.0

Sie dürfen:

Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.

Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.


Unter folgenden Bedingungen:

Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.

Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.